Læsetid: 4 minutter
Introduktion af PSIXBOT:
PsiXBot er data-stjælende trojaner, der er i stand til at høste fortrolige data og adgangskoder fra et offers computer. Det kan stjæle cookies, udtrække logins/adgangskoder fra applikationer som Firefox og Microsoft Outlook, registrere ofrets tastetryk, give kriminelle mulighed for at fjernse/interagere med ofrets skrivebord og kan endda tilføje ofrets computer til et botnet. Det spredes oftest via inficerede e-mail-vedhæftede filer, via online-annoncer, der indeholder botten, og via andre social engineering-metoder.
Den originale PsixBot-malware dukkede op i november 2017, men gennemgik en betydelig udvikling, inden den ankom i beta-format i 2019. Den er siden blevet videreudviklet og står i øjeblikket på version 1.1.0.4 i februar 2020:
PsixBot blev genereret i .NET framework. Denne blog tager dig gennem de forskellige iterationer af PsixBot for at illustrere, hvordan onlinekriminelle konstant opdaterer deres malware for at forbedre dens ydeevne og funktioner.
PsixBots opførsel
PsixBot ændrer systemcertifikatindstillingerne, hvilket giver det praktisk talt ubegrænsede brugeradgangsrettigheder på værtsmaskinen:
Nøgler tilføjet:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Tilførte værdier:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Filer tilføjet:
C:Documents and SettingsAdministratorApplikationsdata
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
beta 1.0.0
Den første version af PsixBot dækket i denne blog er Beta 1.0.0 med kerneklassen 11. Hver klasse har sin individuelle opgave. Følgende grundlæggende klasser bruges i alle versioner af PsixBot:
- Servertalk – bruges til at initialisere den globale variabel, oprette forbindelsen til moderskibsserveren og sende resultater frem og tilbage.
- RunInMemory – bruges til rent faktisk at udføre filen.
- sysinfo – bruges til at indhente oplysninger om brugerens system, herunder antivirusnavn, CPU, Windows-version, brugertype og brugertilladelser.
- CatchEndSession – bruges til at oprette skjulte autoruns.
- SletAtrib – bruges til at dræbe systemets antivirussoftware, Windows Stifinder og eventuelle systemfejladvarsler.
- IsAdmin – bruges til at påtage sig medlemskab af administratorgruppen.
- IsVm – registrerer tilstedeværelsen af virtuelle maskiner.
- ResolveBit – bruges til at løse DNS-anmodninger fra brugeren.
- RC4 – den algoritme, der bruges til at kryptere og dekryptere data.
- Installer – installerer bot-filen og opsætter filens sikkerheds- og opdateringsmoduler.
Version 1.0.2
Beta 1.0.2 beholdt den grundlæggende klassefunktionalitet fra den første version, men omdøbte nogle af klasserne som følger:
- ServerTalk – omdøbt til CpWorker
- RunInMemory – omdøbt til MemoryModulesWorker
- SysInfo – omdøbt til SysHelper
… og tilføjede følgende klasse:
- DNSWorker – bruges til at hente værtsindgangen og pinge værten for at kontrollere, om den er oppe eller ej.
Version 1.1
Version 1.1 beholdt igen den samme klassestruktur som sin forgænger, men føjede følgende opgave til funktionslisten:
- Forfg – bruges til at hente stien til temp-variablen, indstil DLL-biblioteket og skriv det til en .dat-fil:
Version 1.1.0.2
Version 1.1.0.2 så en opdatering, hvorved FORFG feature blev kombineret med den øvrige feature liste. Alle andre klasser og aktiviteter forblev de samme.
Version 1.1.0.4
Igen forblev de grundlæggende klasser de samme som den tidligere version, men med tilføjelsen af følgende, vigtige, klasse
- GzipWebClient – bruges til at dekomprimere alle Gzip-filer, der er downloadet af botten:
Opdateringer af funktionsliste
Tråder – Kald trådfunktionen, der bruges til at køre filen og kør dens hukommelse (RunInMemory).
Bot nøgle - PsixBot har en fælles hård-koded-tast i alle versioner:
Netværksaktiviteter– PsixBot bruger oprindeligt Google DNS og kommunikerer senere med sin egen DNS:
Kernemoduler pr. version
FeautersList pr. version
Netværkstrafik
PsixBot opretter først forbindelse til Google DNS og forbinder derefter til sin egen DNS-server kl greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Stillingen VERSIONER AF PSIXBOT dukkede først på Comodo News og internetsikkerhedsoplysninger.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Om
- adgang
- aktiviteter
- tilføjet
- Desuden
- admin
- algoritme
- Alle
- analyse
- antivirus
- overalt
- applikationer
- før
- beta
- Sort
- Bloker
- Blog
- Bot
- botnet
- stand
- certifikat
- klasse
- klasser
- kombineret
- Fælles
- computer
- tilslutning
- konstant
- cookies
- Core
- skabe
- Kriminelle
- For øjeblikket
- data
- desktop
- udviklet
- Udvikling
- Skærm
- dns
- dokumenter
- hver
- Engineering
- Feature
- Funktionalitet
- februar 2020
- Firefox
- Fornavn
- efter
- følger
- format
- Framework
- Gratis
- fra
- funktion
- funktionalitet
- yderligere
- genereret
- Global
- gruppe
- høst
- Hvordan
- HTTPS
- billede
- vigtigt
- Forbedre
- Herunder
- individuel
- oplysninger
- Internet
- Internet Security
- IT
- Nøgle
- Liste
- maskine
- Maskiner
- malware
- medlemskab
- Hukommelse
- metoder
- microsoft
- mest
- netto
- netværk
- nyheder
- online
- Andet
- Outlook
- egen
- Nulstilling/ændring af adgangskoder
- ydeevne
- ping
- tilstedeværelse
- tidligere
- optage
- forblevet
- anmodninger
- Resultater
- Kør
- samme
- sikkerhed
- sæt
- signifikant
- siden
- Social
- Samfundsteknologi
- nogle
- spredes
- standard
- står
- systemet
- Gennem
- tid
- Trafik
- Trojan
- ubegrænset
- Opdatering
- forskellige
- udgave
- Virtual
- hvorvidt
- vinduer
